نوشته‌ها

هک شدن واتس‌اَپ توسط هکرها

کمپانی چک پوینت با انتشار گزارشی ثابت کرد که می‌توان به‌راحتی متن چت‌ها را در گروه‌های واتس‌اَپ تغییر داد.

هک شدن واتس‌اَپ توسط هکرها

نقص امنیتی در پیام‌رسان متعلق به فیس‌بوک، اجازه می‌دهد تا هکرها بتوانند پیام‌های دروغین ساخته و در گروه‌های مختلف منتشر کنند، درحالی‌که متن پیام‌ها به نام افراد عضو گروه بوده و کسی نمی‌تواند صحت‌وسقم آن را تشخیص دهد.

محققان امنیتی می‌گویند پل واسط میان نسخه موبایل و وب اپلیکیشن واتس‌اَپ (از طریق QR)آسیب‌پذیر است و می‌توان پیام‌های ناخواسته را به نمایش گذاشت.

آن‌ها با دست‌کاری پیامGreat به «من در حال مرگ در بیمارستانم» متعلق به یکی از اعضاء باعث شدند تا دیگران پیام را جدی گرفته و واکنش نشان دهند.

آن‌ها حتی ویدئویی را در همین راستا منتشر کردند که نقص‌های امنیتی ادعاشده را ثابت می‌کند.

تغییر هویت فرستنده پیام با استفاده از ‘quote’ حتی اگر فرد عضو گروه نباشد، تغییر متن و محتوای چت دیگری و … برخی از باگ‌های بزرگ در واتس‌اَپ است که توسط این گروه امنیتی کشف‌شده است.

واتس‌اَپ با ملکیت فیس‌بوک مدعی است که با پروتکل E2E فقط فرستنده و گیرنده پیام را می‌بینند، درحالی‌که چنین نیست و به‌راحتی قابل هک شدن است.

کدهای QR روی نسخه موبایل و وب نفوذپذیر بوده و می‌توان آمار ترافیک و … را از روی آن استخراج کرد.

واتس‌اَپ ادعای مطرح‌شده توسط چک پوینت را قبول نکرده و می‌گوید آنچه نمایش داده‌شده، بخشی از طراحی اپلیکیشن است.

«رابرت پریچارد» محقق مستقل امنیتی می‌گوید قطعا باگ وجود دارد اما اظهارات چک پوینت گیج کننده است.

هک با یک شماره تلفن

یک محقق امنیتی به نام Anand Prakash، آسیب پذیری حساب های Tinder و نحوه استفاده از کیت حساب را کشف نمود به گفته این محقق امنیتی با آسیب پذیر شدن حساب Tinder، هکرها می توانند به شماره تلفن ها و پیام های خصوصی قربانی دسترسی پیدا کنند برهمین اساس Prakash ضعف های امنیتی دو حساب Tinder و Facebook را افشا کرد.

هک با یک شماره تلفن

کیت حساب فیس بوک چیست؟
کیت حساب فیس بوک به حساب توسعه داده شده شخص ثالث اجازه می دهد برنامه های خود را با استفاده از تنها یک آدرس ایمیل یا شماره تلفن ثبت کند و وارد سیستم گردد. زمانی که کاربران این اطلاعات را وارد می کند، برای دسترسی به حساب های آنها یک کد تأییدیه ارسال می شود اپلیکیشن Tinder فقط یکی از حساب هایی است که از کیت حساب برای مدیریت ورود به سیستم استفاده می کند.

کیت حساب به iOS و Android محدود نمی شود. همچنین در برنامه های کاربردی وب و وب همراه، با فعال یا غیر فعال کردن جاوا اسکریپت پشتیبانی می شود. کیت حساب در اینترنت اکسپلوررنسخه ۱۰ و نسخه های بعدی، Edge، Chrome، Firefox، Safari و Opera پشتیبانی می گردد. این حساب در حال حاضر با بیش از ۲۳۰ کدهای کشور و بیش از ۴۰ زبان کار می کند.

چگونه از آسیب پذیری کیت حساب، سوء استفاده شده است؟
با این حال،Prakash اشاره کرد که نقص در Account Kit می تواند هکرها را مجاز به استفاده از نشانه های دسترسی به کوکی کاربر، قطعات داده ها و تاریخ که در مرورگر کیت حساب دچار آسیب پذیری شده است به آن دسترسی داشته باشند و همچنین مهاجم می تواند فقط با استفاده از شماره تلفن خود به هر حساب کاربری، کاربر و رمز کوکی حساب کاربر دسترسی پیدا کنند.

هکرها می توانند به راحتی این آسیب را به یک آسیب پذیری زنجیره ای تبدیل کنند، Prakash گفت: همه هکرها نیاز به یک شماره تلفن جهت ارتباط به یک حساب کیت دارند. در ادامه توضیح داد: Tinder API ، شناسه مشتری را در کیت حساب کنترل نمی نماید به همین دلیل هکرها از این مورد سوء استفاده نموده و به حساب Tinder دیگران دسترسی پیدا می کنند.

سازمان ها و شرکت هایی که در حال توسعه و گسترش هستند باید خط تجارت خود را با امنیت داده های شرکت جدا نمایند و سیستم احراز هویت را برای شرکت خود ایجاد نموده تا بتوانند هویت کارکنان شرکت را حفظ نمایند.
بیشتر خطرات امنیتی بر روی هویت کاربران در حساب کیت می باشد که باید امنیت آن برقرار گردد. بنابراین باید بهترین شیوه از امنیت را برای حساب های کیت کاربران ایجاد شود. امنیت Tinderو Account Kit بسیار اهمیت دارد پس برای برقرای امنیت این دو برنامه و بالا بردن چرخه فعالیت آنها همواره باید برنامه ریزی و نظارت برروی زیرساخت آنها انجام گردد.